Windows逆向安全(一)之基础知识(八)

这篇具有很好参考价值的文章主要介绍了Windows逆向安全(一)之基础知识(八)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

if else嵌套

这次来研究if else嵌套在汇编中的表现形式,本次以获取三个数中最大的数这个函数为例子,分析if else的汇编形式

求三个数中的最大值

首先贴上代码:

#include "stdafx.h"

int result=0;
int getMax(int i,int j,int k){
        if(i>j){
                if(i>k){
                        return i;
                }else{
                        return k;
                }

        }else{
                if(j>k){
                        return j;
                }else{
                        return k;
                }
        }
}

int main(int argc, char* argv[])
{
        result=getMax(1,2,3);
        printf("%d\n",result);
        result=getMax(1,3,2);
        printf("%d\n",result);
        result=getMax(2,1,3);
        printf("%d\n",result);
        result=getMax(2,3,1);
        printf("%d\n",result);
        result=getMax(3,1,2);
        printf("%d\n",result);
        result=getMax(3,2,1);
        printf("%d\n",result);
        return 0;
}

先验证执行的结果是正确的:

Windows逆向安全(一)之基础知识(八),Windows逆向,windows,安全,算法,网络安全

确认可以函数是可以取出三个数的最大值的,于是开始分析该函数

为方便观看,将多余的验证删去,直接改为

getMax(1,2,3);

Windows逆向安全(一)之基础知识(八),Windows逆向,windows,安全,算法,网络安全

汇编代码

然后我们观察汇编代码

函数外部

28:       getMax(1,2,3);
0040D7C8   push        3
0040D7CA   push        2
0040D7CC   push        1
0040D7CE   call        @ILT+10(func) (0040100f)
0040D7D3   add         esp,0Ch

依次压入参数,然后调用函数,最后再堆栈外平衡,重点在函数内部,进去看看

函数内部

7:    int getMax(int i,int j,int k){
0040D760   push        ebp
0040D761   mov         ebp,esp
0040D763   sub         esp,40h
0040D766   push        ebx
0040D767   push        esi
0040D768   push        edi
0040D769   lea         edi,[ebp-40h]
0040D76C   mov         ecx,10h
0040D771   mov         eax,0CCCCCCCCh
0040D776   rep stos    dword ptr [edi]
8:        if(i>j){
0040D778   mov         eax,dword ptr [ebp+8]
0040D77B   cmp         eax,dword ptr [ebp+0Ch]
0040D77E   jle         getMax+32h (0040d792)
9:            if(i>k){
0040D780   mov         ecx,dword ptr [ebp+8]
0040D783   cmp         ecx,dword ptr [ebp+10h]
0040D786   jle         getMax+2Dh (0040d78d)
10:               return i;
0040D788   mov         eax,dword ptr [ebp+8]
0040D78B   jmp         getMax+42h (0040d7a2)
11:           }else{
12:               return k;
0040D78D   mov         eax,dword ptr [ebp+10h]
0040D790   jmp         getMax+42h (0040d7a2)
13:           }
14:
15:       }else{
16:           if(j>k){
0040D792   mov         edx,dword ptr [ebp+0Ch]
0040D795   cmp         edx,dword ptr [ebp+10h]
0040D798   jle         getMax+3Fh (0040d79f)
17:               return j;
0040D79A   mov         eax,dword ptr [ebp+0Ch]
0040D79D   jmp         getMax+42h (0040d7a2)
18:           }else{
19:               return k;
0040D79F   mov         eax,dword ptr [ebp+10h]
20:           }
21:       }
22:   }
0040D7A2   pop         edi
0040D7A3   pop         esi
0040D7A4   pop         ebx
0040D7A5   mov         esp,ebp
0040D7A7   pop         ebp
0040D7A8   ret

函数内部有不少代码是用来保护现场 初始化堆栈 恢复现场的,这里将其过滤掉,看判断语句:

判断语句

8:        if(i>j){
0040D778   mov         eax,dword ptr [ebp+8]
0040D77B   cmp         eax,dword ptr [ebp+0Ch]
0040D77E   jle         getMax+32h (0040d792)
9:            if(i>k){
0040D780   mov         ecx,dword ptr [ebp+8]
0040D783   cmp         ecx,dword ptr [ebp+10h]
0040D786   jle         getMax+2Dh (0040d78d)
10:               return i;
0040D788   mov         eax,dword ptr [ebp+8]
0040D78B   jmp         getMax+42h (0040d7a2)
11:           }else{
12:               return k;
0040D78D   mov         eax,dword ptr [ebp+10h]
0040D790   jmp         getMax+42h (0040d7a2)
13:           }
14:
15:       }else{
16:           if(j>k){
0040D792   mov         edx,dword ptr [ebp+0Ch]
0040D795   cmp         edx,dword ptr [ebp+10h]
0040D798   jle         getMax+3Fh (0040d79f)
17:               return j;
0040D79A   mov         eax,dword ptr [ebp+0Ch]
0040D79D   jmp         getMax+42h (0040d7a2)
18:           }else{
19:               return k;
0040D79F   mov         eax,dword ptr [ebp+10h]
20:           }
21:       }
22:   }

参数分析

Windows逆向安全(一)之基础知识(八),Windows逆向,windows,安全,算法,网络安全

i>j

先来看看i>j的反汇编语句

0040D778   mov         eax,dword ptr [ebp+8]
0040D77B   cmp         eax,dword ptr [ebp+0Ch]
0040D77E   jle         getMax+32h (0040d792)

比较第一个参数和第二个参数

jle:jump less equal,小于等于则跳转(有符号数)

跳转地址:0040d792

16:           if(j>k){
0040D792   mov         edx,dword ptr [ebp+0Ch]

i>k

9:            if(i>k){
0040D780   mov         ecx,dword ptr [ebp+8]
0040D783   cmp         ecx,dword ptr [ebp+10h]
0040D786   jle         getMax+2Dh (0040d78d)

比较第一个和第三个参数

jle:jump less equal,小于等于则跳转(有符号数)

跳转地址:0040d78d

11:           }else{
12:               return k;
0040D78D   mov         eax,dword ptr [ebp+10h]
0040D790   jmp         getMax+42h (0040d7a2)

可以分析出,如果第一个参数小于等于第三个参数则跳转到0040D78D,并将第三个参数赋值给eax作为返回值,这条线路为(k>i>j)

否则执行返回指令,将第一个参数赋给eax作为返回值,这条线路为(i>j且i>k)

10:               return i;
0040D788   mov         eax,dword ptr [ebp+8]
0040D78B   jmp         getMax+42h (0040d7a2)

j>k

16:           if(j>k){
0040D792   mov         edx,dword ptr [ebp+0Ch]
0040D795   cmp         edx,dword ptr [ebp+10h]
0040D798   jle         getMax+3Fh (0040d79f)

比较第二个和第三个参数

jle:jump less equal,小于等于则跳转(有符号数)

跳转地址:0040d79f

18:           }else{
19:               return k;
0040D79F   mov         eax,dword ptr [ebp+10h]

可以分析出,如果第二个参数小于等于第三个参数则跳转到0040D79F,并将第三个参数赋值给eax作为返回值,这条线路为(i<=j<=k)

否则返回执行返回命令,将第二个参数赋值给eax作为返回值,这条线路为(i<=j且k<=j)

17:               return j;
0040D79A   mov         eax,dword ptr [ebp+0Ch]
0040D79D   jmp         getMax+42h (0040d7a2)

总结

不难发现,三个数求最大值,只需两两比较就可以得出结果

分析if else的关键在于观察涉及的参数和jcc语句

此案例中就是直接采取了cmp 外加 jle来进行分支的选择和跳转

因为不符合条件的才要跳转走,所以在条件比较中,是大于的比较如i>j,所使用的汇编为jle 小于等于的比较

不按套路比较

此次案例并不能代表所有情况,实际分析要具体看情况来采取分析,有的程序可能就是不按套路出牌,先看看按套路出牌的程序,然后我们自己来模拟个不按套路的

正常套路

拿两个数的比较为例

#include "stdafx.h"
int getMax2(int i,int j){
        if(i>j){
                return i;
        }else{
                return j;
        }
}
int main(int argc, char* argv[])
{
        getMax2(1,2);
        return 0;
}

先看一般的汇编代码:

9:        if(i>j){
0040D778   mov         eax,dword ptr [ebp+8]
0040D77B   cmp         eax,dword ptr [ebp+0Ch]
0040D77E   jle         getMax2+25h (0040d785)
10:           return i;
0040D780   mov         eax,dword ptr [ebp+8]
0040D783   jmp         getMax2+28h (0040d788)
11:       }else{
12:           return j;
0040D785   mov         eax,dword ptr [ebp+0Ch]
13:       }
14:   }

依旧是采用cmp 和 jle来进行判断,和套路一致

不按套路

完整代码

#include "stdafx.h"
int __declspec(naked) myGetMax(int i,int j){
        __asm{                                
                                //保留调用前堆栈
                push ebp
                //提升堆栈
                mov ebp,esp
                sub esp,0x40
                //保护现场
                push ebx
                push esi
                push edi
                //初始化提升的堆栈,填充缓冲区
                mov eax,0xCCCCCCCC
                mov ecx,0x10
                lea edi,dword ptr ds:[ebp-0x40]
                rep stosd
                //函数核心功能

                //取出参数
                mov eax,dword ptr ds:[ebp+8]
                //比较参数
                cmp eax,[ebp+0xC]
                jge _ret
                mov eax,[ebp+0xC]
_ret:
                //恢复现场
                pop edi
                pop esi
                pop ebx
                //降低堆栈
                mov esp,ebp
                pop ebp                
                //返回
                ret 
        }
}
int main(int argc, char* argv[])
{

        int result=myGetMax(1,2);

        printf("%d\n",result);

        result=myGetMax(4,3);

        printf("%d\n",result);

        return 0;
}

功能代码分析

这里截取出我们自己实现比较的那段代码

                //函数核心功能
                //取出参数
                mov eax,dword ptr ds:[ebp+8]
                //比较参数
                cmp eax,[ebp+0xC]
               jge _ret
               mov eax,[ebp+0xC]
_ret:
                //恢复现场
                pop edi
                pop esi
                pop ebx
                //降低堆栈
                mov esp,ebp
                pop ebp                
                //返回
                ret 

首先我们这里将第一个参数赋值给eax

然后比较eax和第二个参数,也就是比较第一个参数和第二个参数

这边使用的就不是jle而是jge了

jge:jump greater equal,即大于等于则跳转

前面已经将第一个参数赋值给了eax,而eax又是作为返回值来传递的

当第一个参数大于等于第二个参数时,就可以直接返回了

如果不是则不跳转,执行下面的将第二个参数赋值给eax作为返回值

这里注意到我在汇编中自己定义了一个段:_ret,来作为跳转的地址来使用

最后测试一下结果:

Windows逆向安全(一)之基础知识(八),Windows逆向,windows,安全,算法,网络安全

可以正确得到两个数中的最大值文章来源地址https://www.toymoban.com/news/detail-530063.html

到了这里,关于Windows逆向安全(一)之基础知识(八)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Windows逆向安全(一)之基础知识(十)

    之前的文章学习过了四种基本类型:char short int long的汇编表示形式 因为它们的数据宽度都小于等于32位,所以都可以只用一个通用寄存器来存储 接下来的数组显然就无法只用一个通用寄存器就可以存储了 在学习数组之前,再学习一个数据类型:long long(__int64),因为它也无

    2024年02月16日
    浏览(35)
  • Windows安全基础:认证基础知识

    目录 Windows凭据 Windows访问控制模型 访问令牌: 安全标识符(SID): 安全描述符: 令牌安全防御 1、禁止域管理员异机登录 2、开启“审核进程创建”策略 SSPI(Security Support Provider Interface ,安全支持提供程序接口):是windows操作系统中用于执行各种安全相关操作的公用API,

    2024年02月02日
    浏览(54)
  • windows pwn 基础知识

    winchecksec winchecksec 是 windows 版的 checksec ,不过有时候结果不太准确。 checksec(x64dbg) x64dbg 的插件 checksec 检查效果比较准确,并且可以连同加载的 dll 一起检测。 将 release 的插件按 32 和 64 位分别放到 x32dbg 和 x64dbg 的 plugins 目录,如果找不到 plugins 目录则打开调试器然后关闭

    2024年02月15日
    浏览(53)
  • Windows Api 学习笔记 1——基础知识(上)

    推荐阅读《深入浅出:Windows Api 程序设计》。《深入浅出:Windows Api 程序设计》是 王端明 先生的著作,是2022年人民邮电出版社出版的图书。 Microsoft Windows是美国微软公司开发的一套操作系统。自1985年问世以来,随着软硬件的升级,Microsoft Windows不断迭代更新,变得更加人性

    2024年02月08日
    浏览(69)
  • MySQL基础知识(一)-超详细Windows系统安装MySQL详细教程

    1.简介 原计划,今天这篇想要给小伙伴们讲解一下python操作mysql数据库,但是由于近期换了一台新的电脑,所以一看mysql数据库都没安装,所有才有了这篇文章。尽管网上不乏此类型的文章,但是刚好自己要安装,所以就总结和分享一下下了 这篇博文看起来可能有点长,那是

    2024年02月13日
    浏览(53)
  • 安全算法(一):安全技术、加密的基础知识、哈希函数的简单介绍

    通过互联网交换数据时,数据要经过各种各样的网络和设备才能传到对方那里。数据在传输过程中有可能会经过某些恶意用户的设备,从而导致内容被盗取。 因此,要想安全地使用互联网,安全技术是不可或缺的。 传输数据时的四个问题:窃听、假冒、篡改、事后否认 窃听

    2024年02月04日
    浏览(46)
  • 安全测试基础知识

    软件安全测试是评估和测试系统以发现系统及其数据的安全风险和漏洞的过程。没有通用术语,但出于我们的目的,我们将评估定义为分析和发现漏洞,而不尝试实际利用这些漏洞。我们将测试定义为发现和尝试利用漏洞。 安全测试通常根据要测试的漏洞类型或正在执行的测

    2024年02月11日
    浏览(48)
  • 安全 --- 内网基础知识(01)

    (1)概念 内网也称局域网(Local Area Network,LAN)是指在某一工作区域内由多台计算机互联形成的计算机组,一般是方圆几千米内。局域网可实现文件管理、应用软件共享、打印机共享、工作内的历程安排、电子邮件和传真通信服务等功能。 内网为封闭性网络,一定程度上能

    2024年02月10日
    浏览(47)
  • 【网络安全】有趣的基础知识

    逐条记录网络安全学习中有趣的内容和知识。 CNNIC(中国互联网络信息中心)是中国国家域名.cn的管理组织。 中国互联网络信息中心于1997年6月3日组建,现为工业和信息化部 直属事业单位 ,行使国家互联网络信息中心职责。 CNNIC是亚太互联网络信息中心(APNIC)的国家级I

    2024年02月03日
    浏览(64)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包